Sambungkan macOS ke ER-X IKEv2

Sambungkan macOS ke ER‑X IKEv2: Panduan Santai Buat Gen Z (Tetap Aman, Tetap Kenceng)

Kalau kamu pakai Ubiquiti EdgeRouter X (ER‑X) di rumah/kantor dan pengin akses jaringan dari luar dengan aman, IKEv2 adalah pilihan VPN yang simpel, stabil, dan cocok banget sama macOS. Di artikel ini, kita bahas cara nyambungin macOS ke ER‑X pakai IKEv2 dengan gaya santai, tapi tetap lengkap dan aman.

Apa Itu IKEv2 dan Kenapa Cocok Buat macOS?

– IKEv2: Protokol VPN yang cepat, stabil, dan tahan pindah jaringan (misalnya dari Wi‑Fi ke seluler).
– macOS: Native support IKEv2, jadi nggak perlu install aplikasi aneh-aneh.
– Keamanan oke: Biasanya pakai EAP‑MSCHAPv2 (username/password) plus sertifikat server biar macOS yakin servernya bener, bukan palsu.

Persiapan Wajib Sebelum Mulai

– ER‑X sudah running dengan firmware yang relatif baru (EdgeOS 2.x direkomendasikan).
– Akses admin ke ER‑X (CLI/SSH atau GUI).
– Domain atau DDNS yang mengarah ke IP publik router (contoh: vpn.nama-domainmu.com). Ini penting buat sertifikat dan Remote ID di macOS.
– Sertifikat server yang valid untuk domain tersebut:
– Ideal: Let’s Encrypt (gratis, trusted).
– Alternatif: CA internal/self-signed (nanti harus di-import ke macOS).
– Port yang dibuka di firewall WAN:
– UDP 500 (IKE)
– UDP 4500 (NAT‑T)
– Tentukan subnet IP pool untuk klien VPN (misal 10.10.10.0/24).
– Opsi: Rencana routing — full‑tunnel (semua trafik lewat VPN) atau split‑tunnel (hanya akses ke LAN kantor/rumah lewat VPN).

Langkah A: Setup IKEv2 Remote‑Access di ER‑X

Catatan:
– Nama interface WAN biasanya eth0 di ER‑X, tapi cek dulu topologimu.
– Sintaks bisa beda sedikit tergantung versi EdgeOS. Sesuaikan seperlunya.

1) Definisikan proposal IKE dan ESP (kripto kuat, aman, nggak lebay)
– IKE: AES‑256 + SHA‑256
– ESP: AES‑256 + SHA‑256

2) Aktifkan remote‑access IKEv2 dengan EAP‑MSCHAPv2 (username/password)

3) Siapkan IP pool, DNS, dan sertifikat server

4) Tambahkan user VPN

Contoh konfigurasi (edit nilai sesuai punyamu):
– IKE/ESP
– set vpn ipsec ike-group IKEV2 proposal 1 encryption aes256
– set vpn ipsec ike-group IKEV2 proposal 1 hash sha256
– set vpn ipsec ike-group IKEV2 ikev2-reauth no
– set vpn ipsec esp-group IKEV2-ESP proposal 1 encryption aes256
– set vpn ipsec esp-group IKEV2-ESP proposal 1 hash sha256
– Remote-access
– set vpn ipsec remote-access ike-group IKEV2
– set vpn ipsec remote-access esp-group IKEV2-ESP
– set vpn ipsec remote-access outside-address
– set vpn ipsec remote-access client-ip-pool start 10.10.10.10
– set vpn ipsec remote-access client-ip-pool stop 10.10.10.200
– set vpn ipsec remote-access dns-servers server-1 1.1.1.1
– set vpn ipsec remote-access authentication mode eap-mschapv2
– set vpn ipsec remote-access authentication eap-mschapv2 username password ‘‘
– Sertifikat server (pakai cert valid yang cocok dengan FQDN VPN)
– set vpn ipsec remote-access tls ca-cert-file /config/auth/ca.crt
– set vpn ipsec remote-access tls cert-file /config/auth/server.crt
– set vpn ipsec remote-access tls key-file /config/auth/server.key

Pastikan file ca.crt, server.crt, dan server.key sudah kamu upload ke /config/auth/ di ER‑X (via SCP atau GUI). Kalau pakai Let’s Encrypt, gunakan cert untuk domain VPN (CN/SAN harus match).

5) Firewall rules
– Pastikan di rule WAN_LOCAL ada allow untuk UDP 500 dan 4500 ke router.
– Jika mau full‑tunnel (internet klien keluar lewat ER‑X), tambahkan NAT masquerade untuk subnet VPN:
– set service nat rule 5000 description ‘NAT VPN clients’
– set service nat rule 5000 type masquerade
– set service nat rule 5000 outbound-interface
– set service nat rule 5000 source address 10.10.10.0/24

6) Commit dan simpan
– commit
– save

Opsional: Split‑tunnel vs Full‑tunnel

– Full‑tunnel: Semua trafik klien lewat VPN. Kelebihan: privasi dan filtering terpusat. Kekurangan: bandwidth server kepake.
– Split‑tunnel: Hanya jaringan internal yang lewat VPN. Internet tetap direct. Hemat bandwidth, latency lebih rendah.

Di sisi ER‑X, dorong route untuk subnet internal (split‑include). Di macOS, bisa kontrol dengan opsi “Send all traffic” (lihat langkah macOS di bawah). Jika kamu pakai Let’s Encrypt + EAP‑MSCHAPv2, split‑tunnel biasanya yang paling praktis.

Langkah B: Trust Sertifikat di macOS (Jika Pakai CA Internal)

Kalau cert server kamu bukan dari CA publik (misalnya self‑signed):
– Kirim file ca.crt ke Mac.
– Double‑click, install ke System keychain via Keychain Access.
– Set “Always Trust” untuk IPsec/SSL.
– Restart layanan jaringan kalau perlu.

Kalau pakai Let’s Encrypt/CA publik, langkah ini nggak perlu.

Langkah C: Buat Profil VPN IKEv2 di macOS

macOS Ventura/Sonoma/Sequoia:
– System Settings > VPN > Add VPN Configuration > Pilih IKEv2.
– Isi:
– Server: vpn.nama-domainmu.com (harus match sertifikat)
– Remote ID: vpn.nama-domainmu.com (match CN/SAN cert)
– Local ID: kosongkan (kecuali butuh nilai spesifik)
– Authentication: Username
– Username/Password: sesuai yang kamu buat di ER‑X
– Advanced/Options:
– Aktifkan “Send all traffic over VPN” kalau mau full‑tunnel. Kalau split‑tunnel, nonaktifkan dan pastikan ER‑X push route ke subnet internal.
– Save, lalu Connect.

Cek koneksimu: buka Terminal dan ping IP di jaringan internal (contoh: 192.168.1.10) atau akses resource internal (NAS, printer, dsb).

Troubleshooting Cepat

– Stuck “Connecting” atau “Negotiating”:
– Cek port UDP 500/4500 terbuka di firewall/internet provider.
– Kalau di belakang NAT CGNAT, pertimbangkan port‑forward dari modem atau pakai VPS/gateway publik.
– Error “No trusted server certificate”:
– Remote ID harus sama persis dengan nama di sertifikat.
– Pastikan CA ter‑trust di macOS (kalau bukan CA publik).
– “Authentication failed”:
– Cek username/password. Hindari karakter aneh ekstrem kalau EdgeOS‑mu rewel.
– Sinkronkan waktu (NTP) di ER‑X dan Mac.
– Terkoneksi tapi internet mati (full‑tunnel):
– Pastikan NAT rule untuk subnet VPN sudah ada.
– Cek DNS server yang didorong ke klien (coba 1.1.1.1/8.8.8.8).
– Terkoneksi tapi nggak bisa akses LAN (split‑tunnel):
– Pastikan route ke subnet LAN dipush dari ER‑X.
– Cek firewall LAN_IN agar izinkan trafik dari subnet VPN.
– Sering putus:
– Kurangi agresif sleep di Mac, cek stabilitas jaringan.
– Pastikan kripto yang dipakai konsisten (AES‑256/SHA‑256).

Tips Keamanan Biar Nggak “Ngadi‑Ngadi”

– Pakai domain + sertifikat publik (Let’s Encrypt) biar trust lancar.
– Password user kuat, beda dengan akun admin router.
– Matikan proposal lemah (3DES, MD5).
– Update EdgeOS dan backup config.
– Untuk skala lebih besar, pertimbangkan backend RADIUS/LDAP agar manajemen user rapi.

Checklist Kilat

– Domain ke IP publik router? Cek.
– Sertifikat server valid dan match FQDN? Cek.
– UDP 500/4500 terbuka di WAN? Cek.
– IKE/ESP group diset AES‑256/SHA‑256? Cek.
– Remote‑access IKEv2 + EAP‑MSCHAPv2 + user aktif? Cek.
– IP pool + DNS + (opsional) NAT full‑tunnel siap? Cek.
– macOS: Server/Remote ID isi FQDN, auth username/password, connect. Cek.

Penutup

Dengan setup di atas, macOS kamu harusnya bisa nyambung ke ER‑X via IKEv2 dengan smooth — entah buat kerja remote, akses NAS rumah, atau sekadar jaga privasi pas numpang Wi‑Fi umum. Yang penting, pastikan sertifikat rapi, port kebuka, dan routing jelas. Happy tunneling!